桌面自动会多出一个IE图标，主页被改成www.114la.com的进来看看，已经抓到小偷

wsdy

我用火狐的，IE很少用，经常发现IE主页被改www.114la.com，而且MSE也被禁用，图标都没了

为了给大伙提个醒，本人不惜以身试毒，再次安装了捆版病毒的QQ，直接运行执行文件，停在欢迎界面，病毒就已经释放了

文件名： QQ2013 beta1（5400）体验版去广告显IP组件可选版.exe   大小 40.4M

文件属性：睿派克技术论坛 版本 1.89.5400.0

md5 ： 5ecb16d576fe8ab78d4d66b8c44a395d

原帖地址：http://www.yingzheng.com/forum.php?mod=viewthread&tid=2382903

原帖里下载地址：http://pan.baidu.com/share/link?shareid=129499&uk=2804491107 文件已经被删除了，04年的ID出来放毒？已经被负分，禁止访问了  


行为：

在所在文件夹释放ZIP.dll 大小 453k 明显大于正常的几十k，同时会复制一遍到C:\WINDOWS\system32下

在C:\Program Files生成forumdisp.exe，大小39.4M，这个可能是原始文件，被捆绑病毒后成了40.4M

在C:\Program Files\Common Files\Microsoft Shared\INK生成10006215.461  大小25k，文件名是随机的

在C:\Program Files\Common Files生成a3.txt  内容是：“1”

在C:\Program Files\Common Files\Microsoft Shared\MSInfo生成：

aay.txt，内容是：“C:\Program Files\Common Files\Microsoft Shared\INK\10006215.461”

hou.txt，内容是：“461”，看来是上个文件的后缀，用来实现随机的文件名

ntfs.bat，内容是：

1. cacls "C:\Program Files\Common Files\Microsoft Shared\system\system /d everyone  /e
   
2. cacls "C:\Program Files\Common Files\Microsoft Shared\system" /d everyone  /e ”

复制代码

给病毒文件所在文件夹去除用户直接访问权限

qq.txt，内容是：“1”

xinzhu.txt，内容是：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{10006215-

A707-22d2-9CBD-0000F87A469H}”  新注册表项目？

用来给“C:\Program Files\Common Files\Microsoft Shared\INK\10006215.461”注册组件

看来编病毒这个烂人很喜欢用拼音，编程是师母教的吧

在C:\Program Files\Common Files\Microsoft Shared\system\system\生成system.exe，病毒本体, 大小932k

md5 ： 8DE1CAD1F6712F72F61208277B779C40


资源管理器直接查看是看不到的，C:\Program Files\Common Files\Microsoft Shared\system\ 权限被改不让访问

要用ERD2003或者XUETR

XUETR火眼合作版在线检查后信息：

1. 基本信息
   
2. 
   
3.     文件名称：8de1cad1f6712f72f61208277b779c40
   
4.     文件哈希：8de1cad1f6712f72f61208277b779c40
   
5.     文件大小：932KB
   
6.     创建时间：2012-11-17 12:17:15
   
7.     文件类型：EXE
   
8.     PEID信息：Microsoft Visual C++ 6.0
   
9.     文件注释：http://www.ludashi.com
   
10.     公司描述：www.ludashi.com
    
11.     文件描述：鲁大师
    
12.     文件版本：3.31.12.1002
    
13.     版权所有：版权所有 (C) 2008-2012 www.ludashi.com
    
14.     合法商标：鲁大师
    
15.     产品名称：鲁大师
    
16.     产品版本：3.31.12.1002
    
17. 
    
18. 火眼点评
    
19. 
    
20.       疑似查找杀软进程
    
21. 其他行为监控
    
22. 
    
23.     行为描述：疑似查找杀软进程
    
24.     附加信息：
    
25. 
    
26.     360SAFE.EXE [360安全卫士主进程]
    
27. 
    
28.     360SD.EXE [360相关进程]
    
29. 
    
30.     360TRAY.EXE [360进程]
    
31. 
    
32.     AVGNT.EXE [AVG相关进程]
    
33. 
    
34.     AVP.EXE [卡巴斯基进程]
    
35. 
    
36.     EKRN.EXE [ESET相关进程]
    
37. 
    
38.     KXETRAY.EXE [金山相关进程]
    
39. 
    
40.     LIVEUPDATE360.EXE [360相关进程]
    
41. 
    
42.     MSSECES.EXE [微软反病毒相关进程]
    
43. 
    
44.     RSTRAY.EXE [瑞星相关进程]
    
45. 
    
46.     ZHUDONGFANGYU.EXE [360主动防御]

复制代码

鲁大师？？？？话说我从来不用什么撸管大师，什么360娱乐软件的  :112:

用来关闭各种杀软，文件信息伪装成了撸大师，树大招风啊，电脑白痴们最喜欢用的系统信息检测软件躺着中枪了



其实C:\Program Files\Common Files\Microsoft Shared\MSInfo还会另外生成几个文件的，不知道这次为什么没生成



可能还有别的保护机制吧，还会生成：

IEFILES5.INF,IEINFO5.OCX 这两个貌似是XP本身的文件，

IEFILES5.INI 其实就是前面说的system.exe,
md5 ： 8DE1CAD1F6712F72F61208277B779C40

time.txt 文件已经删了，内容是年月日时分秒，记录安装的时间？

win.txt 文件已经删了，内容忘记了，不重要

v1.jpg 文件已经删了，内容一张半裸美女，用MSE和火眼在线没扫出什么，其实jpg文件里面是可以隐藏二进制代码的，

不影响看图软件打开

还应该生成hosts文件，替换系统自身的同名文件，自己搜索一下，好像是在C:\WINDOWS\system32\drivers\etc里

hosts 内容

1. 127.0.0.1   bbs.taobao.com
   
2. 127.0.0.1   forum.taobao.com
   
3. 127.0.0.1   www.360.cn
   
4. 127.0.0.1   bbs.360.cn
   
5. 127.0.0.1   360.cn
   
6. 127.0.0.1   bbs.janmeng.com
   
7. 127.0.0.1   bbs.ikaka.com
   
8. 127.0.0.1   www.shadu007.com
   
9. 127.0.0.1   bbs.sd.keniu.com
   
10. 127.0.0.1   bbs.kafan.cn
    
11. 127.0.0.1   bbs.vc52.cn
    
12. 127.0.0.1   bbs.sanfans.com
    
13. 127.0.0.1   www.kpfans.com[/url]
    
14. 127.0.0.1   bbs.shadu007.com
    
15. 127.0.0.1   www.shadu007.com
    
16. 127.0.0.1   bbs.sd.keniu.com
    
17. 127.0.0.1   club.alimama.com
    
18. 127.0.0.1   www.alimama.com
    
19. 127.0.0.1   taoke.alimama.com
    
20. 127.0.0.1   bbs.vc52.cn
    
21. 127.0.0.1   www.virscan.org
    
22. 74.121.191.27   www.taobao-mo.com
    
23. 74.121.191.27   www.pg8.cn
    
24. 74.121.191.27   www.hl-sms.cn
    
25. 74.121.191.27   mall.yi85.com
    
26. 74.121.191.27   www.ywaili.com
    
27. 74.121.191.27   www.77taoba.com
    
28. 74.121.191.27   www.nongyecn.com
    
29. 74.121.191.27   shouji.tbw.net.cn
    
30. 74.121.191.27   www.sjxun.com
    
31. 74.121.191.27   www.taobao-shouji.com
    
32. 74.121.191.27   www.sugouwu.com
    
33. 74.121.191.27   www.shopnokia.info
    
34. 74.121.191.27   www.949528.cn
    
35. 74.121.191.27   www.mbbw.info[/url]
    
36. 74.121.191.27   diannao.nav123.com
    
37. 74.121.191.27   www.qiangdiannao.cn
    
38. 74.121.191.27   tbwwsgwdn.tao132.cn
    
39. 74.121.191.27   www.949528.cn
    
40. 74.121.191.27   www.lizhishu.com
    
41. 74.121.191.27   517xky.webnode.cn
    
42. 74.121.191.27   tbwang114.dianban.org
    
43. 74.121.191.27   bijiben.china-tea-set.com
    
44. 74.121.191.27   www.lizhishu.com
    
45. 74.121.191.27   www.buy.com.cn
    
46. 74.121.191.27   www.cnmachine.net
    
47. 74.121.191.27   www.taobaobijiben.cn
    
48. 74.121.191.27   taobaowang91.17soutao.com
    
49. 74.121.191.27   tao.365china.net
    
50. 74.121.191.27   www.wang1314.com
    
51. 74.121.191.27   www.sugouwu.com
    
52. 74.121.191.27   tbw1dnbao.dianban.org
    
53. 74.121.191.27   www.paocaipu.cn
    
54. 74.121.191.27   taobaowang223.17soutao.com
    
55. 74.121.191.27   tbwang149.dianban.org
    
56. 74.121.191.27   www.bjbtxt.com
    
57. 74.121.191.27   diannao5.blogcn.com
    
58. 74.121.191.27   bijibendiannao.blog.china.com
    
59. 74.121.191.27   www.taok.cc
    
60. 74.121.191.27   www.mvptaoke.com
    
61. 74.121.191.27   www.taobao.com
    
62. 74.121.191.27   www.mbaobao.com
    
63. 74.121.191.27   www.91kd.cn
    
64. 74.121.191.27   www.66taoke.com
    
65. 74.121.191.27   www.haixitaoke.com
    
66. 74.121.191.27   www.ttcome.cn
    
67. 74.121.191.27   www.taoke.info
    
68. 74.121.191.27   www.taoke.la
    
69. 74.121.191.27   www.cntorg.com
    
70. 74.121.191.27   www.taokw.com
    
71. 74.121.191.27   www.nvtaoke.com
    
72. 74.121.191.27   www.4155.cn
    
73. 74.121.191.27   www.fanql.com
    
74. 74.121.191.27   www.taoke01.cn
    
75. 74.121.191.27   www.dgtaoke.com[/url]
    
76. 74.121.191.27   www.cqtkw.com[/url]
    
77. 74.121.191.27   www.456789.cn[/url]
    
78. 74.121.191.27   www.33tk.cn[/url]
    
79. 74.121.191.27   www.taokeweb.com[/url]
    
80. 74.121.191.27   www.191taoke.com[/url]
    
81. 74.121.191.27   www.sosotaoke.com[/url]
    
82. 74.121.191.27   www.payez.cn[/url]
    
83. 74.121.191.27   sjpjc.cn
    
84. 74.121.191.27   www.tao54.com[/url]
    
85. 74.121.191.27   www.taokw.com
    
86. 74.121.191.27   www.nvtaoke.com
    
87. 74.121.191.27   www.4155.cn
    
88. 74.121.191.27   [url]www.fanql.com
    
89. 74.121.191.27   [url]www.taoke01.cn
    
90. 74.121.191.27   [url]www.dgtaoke.com
    
91. 74.121.191.27   [url]www.cqtkw.com
    
92. 74.121.191.27   [url]www.456789.cn
    
93. 74.121.191.27   [url]www.33tk.cn
    
94. 74.121.191.27   [url]www.taokeweb.com
    
95. 74.121.191.27   [url]www.191taoke.com
    
96. 74.121.191.27   [url]www.sosotaoke.com
    
97. 74.121.191.27   [url]www.payez.cn
    
98. 74.121.191.27   sjpjc.cn
    
99. 74.121.191.27   [url]www.tao54.com

复制代码

dns.txt 文件已经删了，内容忘记了，好像是3位数字，不重要


=================================

到此时IE主页还没被修改，估计是要等我全部安装完毕或者执行QQ后顺带启动病毒才会发作吧

中招了也不用怕，用XUETR强制删除各处的文件后，在搜索注册表，删除所有含www.114la.com的信息

有两处，一是真正的IE那里，主页被改成www.114la.com

二是病毒在桌面自动新建一个山寨的IE图标，需要先在注册表中彻底删除子键，图标才能删除

==================================

结论：

1）这个病毒编写的比较弱智，配置文件用了多个txt，还用拼音做文件名，真是师娘教出来的

2）不要迷信MSE等等杀软，VB100评测也是扯蛋的，貌似很容易全通过

3）不要安装来路不明的软件，qq之类修改版的，尽量用名气大的，最好是原作者自己标注了md5的，以防被某些人再次打包

4）中招了也不怕，百度一下清除方法，还有就是赶紧去改密码吧

shel_lee

很详细技术帖子，楼主有心了~

廿浮沉

lz精神可嘉

姑蔑

厉害啊，佩服，学习

AMARS

分析很到位...不错

Alice2bemad

顶一下，学习技术

黑克

貌似很有用

plko3451

楼主厉害，我就一直用改的